title: 如何在FastAPI中玩转跨服务权限校验的魔法?

date: 2025/06/24 08:23:40

updated: 2025/06/24 08:23:40

author: cmdragon

excerpt:

FastAPI跨服务权限校验通过可信令牌颁发、令牌传播机制和分布式验证实现微服务架构安全。核心组件包括令牌生成服务和验证逻辑,使用JWT进行身份认证和权限控制。服务间调用通过HTTPX自动携带令牌,确保权限上下文传递。实践案例展示了电商订单流程中的跨服务操作。常见报错涉及无效签名和权限不足,建议使用短期令牌和权限枚举。进阶安全措施包括双因素令牌、请求签名和令牌绑定,增强系统安全性。

categories:

  • 后端开发
  • FastAPI

tags:

  • FastAPI
  • 跨服务权限校验
  • JWT
  • 微服务安全
  • 分布式系统
  • 令牌验证
  • 零信任架构

扫描二维码

关注或者微信搜一搜:编程智域 前端至全栈交流与成长

发现1000+提升效率与开发的AI工具和实用程序https://tools.cmdragon.cn/

1. FastAPI跨服务权限校验实现

1.1 跨服务权限校验基本原理

在现代分布式系统中,跨服务权限校验是保障微服务架构安全的核心机制。其核心原理基于以下三个关键要素:

  1. 可信令牌颁发:通过集中式认证服务(如Keycloak或自建OAuth2服务器)生成加密的安全令牌
  2. 令牌传播机制:服务间通过HTTP头部(Authorization Bearer)传递验证令牌
  3. 分布式验证:每个服务独立验证令牌有效性,无需依赖中心认证服务

1.2 核心组件实现

在FastAPI中实现跨服务权限校验需要以下组件协同工作:

# 安装依赖

# fastapi==0.68.0

# python-jose[cryptography]==3.3.0

# httpx==0.23.0

from fastapi import Depends, HTTPException, status

from jose import JWTError, jwt

from pydantic import BaseModel

# 公共配置模型

class AuthConfig(BaseModel):

    secret_key: str = "your-256bit-secret"

    algorithm: str = "HS256"

    issuer: str = "https://auth.service"

    audience: str = ["order.service", "payment.service"]

1.2.1 令牌生成服务

认证服务负责颁发包含服务访问范围的JWT令牌:

def create_access_token(

        subject: str,

        service_scopes: list,

        config: AuthConfig

):

    payload = {

        "iss": config.issuer,

        "sub": subject,

        "aud": config.audience,

        "service_scopes": service_scopes

    }

    return jwt.encode(

        payload,

        config.secret_key,

        algorithm=config.algorithm

    )

1.2.2 服务端验证逻辑

各业务服务通过依赖注入实现权限校验:

async def validate_service_token(

        token: str = Depends(OAuth2PasswordBearer(tokenUrl="token")),

        config: AuthConfig = Depends(get_auth_config)

):

    credentials_exception = HTTPException(

        status_code=status.HTTP_401_UNAUTHORIZED,

        detail="Could not validate credentials",

        headers={"WWW-Authenticate": "Bearer"},

    )

    try:

        payload = jwt.decode(

            token,

            config.secret_key,

            algorithms=[config.algorithm],

            audience=config.audience,

            issuer=config.issuer

        )

        if "service_scopes" not in payload:

            raise credentials_exception

    except JWTError:

        raise credentials_exception

    return payload["service_scopes"]

1.3 服务间调用实现

使用HTTPX进行服务间通信时自动携带令牌:

class ServiceClient:

    def __init__(self, base_url: str, token: str):

        self.client = httpx.AsyncClient(

            base_url=base_url,

            headers={"Authorization": f"Bearer {token}"}

        )

    async def call_service(self, endpoint: str):

        response = await self.client.get(endpoint)

        response.raise_for_status()

        return response.json()

# 在路由中使用

@app.post("/place-order")

async def place_order(

        scopes: list = Depends(validate_service_token),

        service_client: ServiceClient = Depends(get_service_client)

):

    if "order.write" not in scopes:

        raise HTTPException(status.HTTP_403_FORBIDDEN)

    payment_result = await service_client.call_service("/payments")

    return {"status": "order_created"}

1.4 实践案例:电商订单流程

假设用户需要完成订单创建和支付两个跨服务操作:

  1. 用户服务颁发包含权限的JWT:

    {
    
  "iss": "auth.service",
    
  "aud": ["order.service", "payment.service"],
    
  "service_scopes": ["order.write", "payment.create"]
    
}

  2. 订单服务验证令牌中的order.write权限

  3. 支付服务验证payment.create权限

  4. 服务间调用通过令牌传递维持权限上下文

1.5 课后Quiz

问题1:当服务收到包含无效签名的JWT时,应该返回什么HTTP状态码?

A) 200

B) 401

C) 403

D) 500

答案与解析

正确选项B) 401 Unauthorized。签名无效属于身份认证失败,应返回401状态码。403 Forbidden用于认证成功但权限不足的情况。

问题2:如何防止服务间令牌被窃取重用?

A) 使用短期有效的令牌

B) 增加令牌长度

C) 记录已使用令牌

D) 加密传输通道

答案与解析

正确选项A)和C)的组合。短期令牌(如15分钟有效期)减少暴露窗口,配合令牌撤销列表可以防范重放攻击。D)是基础要求但不是防重用措施。

1.6 常见报错解决方案

报错1jose.exceptions.JWTClaimsError: Invalid audience

原因:令牌中aud字段不包含当前服务标识

解决

  1. 检查认证服务配置的受众范围
  2. 验证服务启动时加载的audience配置
  3. 确认服务间调用使用正确的服务标识

报错2HTTP 403 Forbidden

原因:令牌权限字段不包含访问端点所需权限

排查步骤

  1. 使用jwt.io调试查看令牌中的service_scopes
  2. 检查路由权限要求是否超出令牌范围
  3. 验证权限命名是否一致(大小写敏感)

预防建议

  • 使用枚举类型定义权限常量
  • 实现权限变更自动通知机制
  • 定期审计服务权限配置

1.7 进阶安全增强

在基础实现上可增加以下安全措施:

  1. 双因素令牌:结合JWT和短期API Key
  2. 请求签名:重要操作添加HMAC签名
  3. 令牌绑定:将令牌与客户端特征(如IP)绑定
  4. 监控预警:实时监控异常权限请求
# HMAC签名示例

def sign_request(data: bytes, key: str):

    return hmac.new(

        key.encode(),

        data,

        digestmod=hashlib.sha256

    ).hexdigest()

# 在客户端调用前生成签名

signature = sign_request(payload, "secret-sign-key")

headers["X-Signature"] = signature

通过以上实现,可以在FastAPI框架中构建出符合零信任架构要求的跨服务权限体系。

余下文章内容请点击跳转至 个人博客页面 或者 扫码关注或者微信搜一搜:编程智域 前端至全栈交流与成长,阅读完整的文章:如何在FastAPI中玩转跨服务权限校验的魔法? | cmdragon's Blog

往期文章归档:

如何在FastAPI中玩转跨服务权限校验的魔法?的更多相关文章

  1. 如何在IIS中承载WCF NetTcpBinding 服务

    这篇博客将介绍如何在IIS中承载NetTcpBinding的服务. 1. 首先准备服务代码. Contract namespace Contract { [ServiceContract] publi ...

  2. 如何在 apache 中开启 gzip 压缩服务

    服务器设置 gzip 压缩是 web 开发里很普遍的做法.假设你要请求一个 100k 的文件,网络传输速度为 50k/s,需要 2s 才能得到数据,但是如果在服务器设置了 gzip 压缩,将服务端的文 ...

  3. 不使用三方包时,如何在ThinkSNS中建立优雅的用户权限管理

    什么是ThinkSNS ? ThinkSNS(简称TS),一款全平台综合性社交系统,为国内外大中小企业和创业者提供社会化软件研发及技术解决方案,目前最新版本为ThinkSNS+(简称TS+).Thin ...

  4. [办公自动化]如何在windows7中编辑hosts文件 (提示权限不够)

    请按如下步骤尝试: 1.在开始菜单里,单击“所有程序”,找到“附件”,单击找到里面的“记事本”,右键,然后选择“以管理员身份运行”,如果有对话框,选择“是”.2.然后单击记事本窗口的“文件”菜单,选择 ...

  5. Azure 中快速搭建 FTPS 服务

    FTP,FTPS 与 SFTP 的区别 FTP (File Transfer Protocol)是一种常用的文件传输协议,在日常工作中被广泛应用.不过,FTP 协议使用明文传输.如果文件传输发生在公网 ...

  6. Java面试必会-微服务权限认证

    微服务身份认证方案 1. 单点登录(SSO) 这种方案意味着每个面向用户的服务都必须与认证服务交互,这会产生大量非常琐碎的网络流量和重复的工作,当动辄数十个微应用时,这种方案的弊端会更加明显. 2. ...

  7. 别再让你的微服务裸奔了,基于 Spring Session & Spring Security 微服务权限控制

    微服务架构 网关:路由用户请求到指定服务,转发前端 Cookie 中包含的 Session 信息: 用户服务:用户登录认证(Authentication),用户授权(Authority),用户管理(R ...

  8. 如何在ASP.NET Core中实现CORS跨域

    注:下载本文的完整代码示例请访问 > How to enable CORS(Cross-origin resource sharing) in ASP.NET Core 如何在ASP.NET C ...

  9. 如何在 Kubernetes 集群中玩转 Fluid + JuiceFS

    作者简介: 吕冬冬,云知声超算平台架构师, 负责大规模分布式机器学习平台架构设计与功能研发,负责深度学习算法应用的优化与 AI 模型加速.研究领域包括高性能计算.分布式文件存储.分布式缓存等. 朱唯唯 ...

  10. 如何在springMVC 中对REST服务使用mockmvc 做测试

    如何在springMVC 中对REST服务使用mockmvc 做测试 博客分类: java 基础 springMVCmockMVC单元测试  spring 集成测试中对mock 的集成实在是太棒了!但 ...

随机推荐

  1. 客户端“自废武功”背后的深层秘密——CORS跨域是怎么回事?

    客户端"自废武功"背后的深层秘密--CORS跨域是怎么回事? 嘿,对于刚入门的开发新手,你是不是曾经遇到过这样的情况:你正在愉快地开发一个 Web 应用,代码写得热火朝天,前后端配 ...

  2. 利用标准IO函数接口实现计算一个本地磁盘某个文件的大小,文件名通过命令行进行传递

    利用标准IO函数接口实现计算一个本地磁盘某个文件的大小,文件名通过命令行进行传递 方法一:使用ftell函数直接获取光标偏移量 相关标准库函数 SYNOPSIS #include <stdio. ...

  3. Ubuntu下RabbitVCS的安装和简单使用

    最近需要在Ubuntu下玩一段时间,但是没找类似TortoiseSVN的熟悉点的Subversion工具,无意间发现了RabbitVCS,操作上非常nice,留爪. 下载 RabbitVCS Rabb ...

  4. 学习Kotlin语法(四)

    简介 在上一节,我们对Kotlin中函数的相关知识有了大致的了解,本章节我们将去了解一些Kotlin中的作用域函数. 目录 let:处理可空对象,链式操作 run:对象配置 + 计算返回值 with: ...

  5. journalctl -u docker 查看日志

    转载注明出处: 1. 查看 Docker 服务的最新日志(实时滚动) sudo journalctl -u docker -f -f 参数表示 跟随(follow),会持续输出最新日志(类似 tail ...

  6. doctrine-orm基础(单用doctrine避坑指南)

    附: doctrine基础(一):https://www.jianshu.com/p/3681e1add282 doctrine官网: https://www.doctrine-project.org ...

  7. php 设置友好时间

    public static function formatTime($time){ if (is_int($time)) { $time = intval($time); } elseif ($tim ...

  8. Spring基于注解的CRUD

    目录 Spring基于注解的CRUD 代码实现 测试 方式一:使用Junit方式测试 方式二:使用@RunWith(SpringJUnit4ClassRunner.class)注解测试 Spring基 ...

  9. 【记录】JS和C++的Base64编码解码(支持中文)

    JS 解决方法来源于知乎新码笔记的文章 function b64Encode(str) { return btoa(unescape(encodeURIComponent(str))); } func ...

  10. 自定义Spring Authorization Server登录页

    一.鸣谢 首先要声明一些感谢: 感谢官方文档的缺失.反复造成我下面这条感谢 感谢那些胡说八道.顾彼失此的某DN文章,让我在冲向坑里的道路上一往无前 废话不多说,看剑! 本文来自:博客园-去哪里吃鱼-自 ...